Текст книги "Настройка Active Directory. Windows Server 2008"

к 806

Службы управления правами Active Directory

Глава 16

С е р т и ф и к а т ы A D R M S

Поскольку службы A D R M S ш и ф р у ю т и п о д п и с ы в а ю т д а н н ы е , о н и , к а к и с л у ж -

бы AD CS, используют с е р т и ф и к а т ы и н а з н а ч а ю т их р а з л и ч н ы м п о л ь з о в а т е л я м

в инфраструктуре A D R M S . К р о м е того, с л у ж б ы A D R M S и с п о л ь з у ю т л и ц е н з и и

в формате X r M L (Extensible Rights M a r k u p L a n g u a g e ) . П о с к о л ь к у э т и л и ц е н з и и

вложены в содержимое, с о з д а в а е м о е п о л ь з о в а т е л я м и , о н и т а к ж е п р е д с т а в л я ю т

собой некую ф о р м у с е р т и ф и к а т а . А н а л о г и ч н о A D C S и е р а р х и я A D R M S ф о р -

мирует цепочку п о д т в е р ж д е н и я с е р т и ф и к а т а и л и л и ц е н з и и . В т а б л . 1 6 – 3 п е р е -

числены р а з л и ч н ы е с е р т и ф и к а т ы , н е о б х о д и м ы е в и н ф р а с т р у к т у р е A D R M S .

Табл. 16-3. Сертификаты AD RMS

Сертификат

Содержимое

Сертификат лицен-

Самозаверяющий сертификат SLC генерируется во время

зиара сервера SLC

установки первого сервера AD RMS в корневом кластере.

(Server Licensor

Другие члены корневого кластера совместно используют этот

Certificate)

сертификат SLC. При создании лишь сервера лицензирования

генерируется сертификат SLC, который совместно использует-

ся членами кластера. Срок действия сертификата SLC по умол-

чаншо составляет 250 лет

Сертификат прав

Сертификаты RAC выдаются доверенным пользователям,

учетной записи RAC обладающим учетной записью с адресом электронной почты

(Rights Account

в AD DS. Сертификаты RAC генерируются при первой попыт-

Certificate)

ке пользователя открыть содержимое с защитой прав доступа.

Стандартные сертификаты RAC идентифицируют пользо-

вателей с привязкой к компьютерам и имеют срок действия

365 дней.

Временные сертификаты RAC пе привязывают пользователя

к конкретному компьютеру и имеют срок действия всего лишь

15 мин.

Сертификат RAC содержит открытый и закрытый ключи поль-

зователя. Закрытый ключ зашифрован с помощью закрытого

ключа компьютера, как описано в строке «Машинный сертифи-

кат» этой таблицы

Сертификат лицен-

После получения сертификата RAC пользователем и запуска

зиара клиента CLC

приложения AD RMS данная программа автоматически от-

(Client Licensor

правляет запрос CLC в кластер AD RMS, Для выполнения это-

Certificate)

го процесса клиентский компьютер должен быть подключен к

сети, однако после получения CLC пользователь может приме-

нить политики AD RMS даже в автономном режиме. Посколь-

ку сертификат CLC привязан к сертификату RAC клиента, он

автоматически становится недействительным в случае отзыва

сертификата RAC.

Сертификат CLC содержит открытый и закрытый ключи ли-

цензиара клиента, которые зашифрованы с помощью откры-

того ключа пользователя, а также открытый ключ кластера

AD RMS. Закрытый ключ CLC используется для шифрования

содержимого

Установка служб управления правами Active Directory 8 0 7

Табл.16-3 ( окончание)

Сертификат

Содержимое

Машинный

Когда приложение AD RMS используется впервые, создается

сертификат

сертификат машины. Клиент AD RMS в Windows автоматичес-

ки управляет этим процессом посредством кластера AD RMS.

Этот сертификат создает на компьютере почтовый ящик для

корреляции машинного сертификата с профилем пользователя.

Машинный сертификат содержит открытый ключ активиро-

ванного компьютера. Закрытый ключ содержится в почтовом

ящике на компьютере

Лицензия

Лицензия на публикацию, которая создается при сохранении

на публикацию

пользователем содержимого в режиме защиты прав доступа,

перечисляет пользователей, которые могут работать с содержи-

мым, и условия работы, а также права доступа каждого поль-

зователя к содержимому. Включает симметричный ключ для

расшифровки содержимого, а также открытый ключ кластера

Лицензия

Лицензия на использование, которая назначается для поль-

на использование

зователя, открывающего содержимое с защитой прав доступа,

привязывается к сертификату RAC пользователя и перечисляет

права доступа к защищенному содержимому.

Содержит симметричный ключ для расшифровки содержимо-

го, зашифрованный с помощью открытого ключа пользователя

СОВЕТ К ЭКЗАМЕНУ

Изучите различные сертификаты и лицензии, используемые в AD RMS, поскольку

они будут включены в темы экзамена.

Процедура установки

П р о а н а л и з и р о в а в р а з л и ч н ы е требования и процессы установки AD RMS, мож-

но н а ч и н а т ь установку. В ы п о л н и т е все требования, приведенные в табл. 16-1,

и п р и с т у п а й т е к с л е д у ю щ и м шагам.

1. В о й д и т е на р я д о в о й сервер W i n d o w s Server 2008 как администратор пред-

п р и я т и я .

На сервере д о л ж н ы быть установлена система Windows Server 2008 Standard

E d i t i o n и W i n d o w s Server 2008 Enterprise Edition или Windows Server 2008

D a t a c e n t e r E d i t i o n .

ВНИМАНИЕ! Использование рядовых серверов

Не устанавливайте AD RMS на контроллере домеиа. Используйте только рядовой

сервер. С появлением возможностей виртуализации больше нет никаких причин,

помимо лицензирования операционной системы, создавать многоцелевые контрол-

леры доменов. Каждая виртуальная машина может выполнять определенную задачу

и работать независимо от всех остальных служб.

к 808 Службы управления правами Active Directory Глава 16

2. В к а т е г о р и и А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) з а п у ш и т е Д и с п е т -

чер сервера (Server M a n a g e r ) .

3 На панели дерена щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л Р о л и ( R o l e s ) и в ы -

' полните команду Д о б а в и т ь роли ( A d d Roles).

А. Просмотрите и н ф о р м а ц и ю па с т р а н и ц е П е р е д н а ч а л о м р а б о т а ( B e f o r e You

Begin).

5 На странице Выбор ролей сервера (Select S e r v e r R o l e s ) у с т а н о в и т е ф л а ж о к

С л у ж б ы у п р а в л е н и я п р а в а м и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s

Management Services) и щ е л к н и т е Д а л е е ( N e x t ) .

Мастер добавления ролей (Add Roles W i z a r d ) п о т р е б у е т д о б а в и т ь р о л ь веб-

сервера (IIS) с необходимыми к о м п о н е н т а м и , с л у ж б у а к т и в а Ш щ п р о ц е с с о в

Windows WPAS (Windows Process Activation S e r v i c e ) и О ч е р е Д ь с о о б щ е н и й

(Message Queuing).

6. Щелкните кнопку Добавить н е о б х о д и м ы е с л у ж б ы р о л и ( A d d R e q u i r e d Role

Services), если эти с л у ж б ы н е б ы л и у с т а н о в л е н ы д о и н с т а л л я ц и и A D R M S ,

а затем – Далее (Next).

7. На странице Службы у п р а в л е н и я п р а в а м и A c t i v e D i r e c t o r y ( A c t i v e D i r e c -

tory Rights Management Services) п р о с м о т р и т е и н ф о р м а ц и ю о в ы б р а н н о й

роли и щелкните Далее ( N e x t ) .

8. На странице Выбор служб ролей ( S e l e c t Roles S e r v i c e s ) у с т а н о в и т е ф л а -

жок Сервер у п р а в л е н и я п р а в а м и Active D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s

Management Server) и щ е л к н и т е Д а л е е ( N e x t ) .

Н е у с т а н а в л и в а й т е пока ф л а ж о к П о д д е р ж к а ф е д е р а ц и и у д о с т о в е р е н и й

(Identity Federation S u p p o r t ) . В ы н е с м о ж е т е у с т а н о в и т ь э т о т к о м п о н е н т ,

пока не будет создана ф е д е р а т и в н а я с в я з ь AD F S .

9 . Н а странице Создать или п р и с о е д и н и т ь к л а с т е р A D R M S ( C r e a t e O r J o i n

A n A D R M S Cluster) у к а ж и т е п а р а м е т р С о з д а т ь н о в ы й к л а с т е р A D R M S

(Create A New AD R M S C l u s t e r ) и щ е л к н и т е Д а л е е ( N e x t ) .

Если кластер у ж е создан и вы у с т а н а в л и в а е т е в т о р о й с е р в е р , б у д е т в ы -

бран параметр Присоединить к с у щ е с т в у ю щ е м к л а с т е р у A D R M S 0 ° i n A n

Existing AD RMS), п о с к о л ь к у в л е с у м о ж е т б ы т ь т о л ь к о о д и н к л а с т е р .

10. Н а с т р а н и ц е В ы б о р к о н ф и г у р а ц и и б а з ы д а н н ы х ( S e l e c t C o n f i g u r a t i o n

Database) укажите параметр И с п о л ь з о в а т ь д р у г о й с е р в е р б а з ы д а н н ы х ( U s e

A Different Database Server) и щ е л к н и т е Д а л е е ( N e x t ) .

Если использовать в н у т р е н н ю ю б а з у д а н н ы х W i n d o w s ( W i n d o w s I n t e r n a l

Database) д л я у п р а в л е н и я б а з а м и д а н н ы х A D R M S в у с т а н о в к е о д н о г о

сервера, шаги 11 и 12 не т р е б у ю т с я . П о м н и т е , ч т о п р и и с п о л ь з о в а н и и э к -

земпляра внутренней базы д а н н ы х W i n d o w s в ы н е с м о ж е т е п р и с о е д и н и т ь

другие серверы к этому кластеру. И с п о л ь з у й т е в н у т р е н н ю ю б а з у д а н н ы х

windows только в тестовых средах, если нет средств д л я с о з д а н и я соответс-

твующего сервера баз д а н н ы х .

И . Щелкните кнопку Выбрать (Select), ч т о б ы л о к а л и з о в а т ь сервер, к о т о р ы й

управляет базой данных, введите имя, щ е л к н и т е с н а ч а л а к н о п к у П р о в е р и т ь

имена (Check Names), а затем – О К .

Занятие 1

Установка служб управления правами Active Directory

809

12. В р а с к р ы в а ю щ е м с я с п и с к е Э к з е м п л я р б а з ы д а н н ы х ( D a t a b a s e Instance)

в ы б е р и т е с о о т в е т с т в у ю щ и й э к з е м п л я р , щ е л к н и т е к н о п к и Проверить (Vali-

d a t e ) и Д а л е е ( N e x t ) .

13. И а с т р а н и ц е У к а ж и т е у ч е т н у ю з а п и с ь с л у ж б ы (Specify Service A c c o u n t )

щ е л к н и т е к н о п к у У к а з а т ь ( S p e c i f y ) , введите и пароль пользователя домена

и у ч е т н у ю з а п и с ь , к о т о р а я будет и с п о л ь з о в а т ь с я в качестве учетной записи

с л у ж б ы A D R M S , щ е л к н и т е О К , а з а т е м – Д а л е е (Next).

П о м н и т е , ч т о эта у ч е т н а я з а п и с ь д о л ж н а б ы т ь членом локальной группы

А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) .

14. И а с т р а н и ц е Н а с т р о и т ь х р а н и л и щ е к л ю ч а кластера A D R M S (Configure

A D R M S C l u s t e r K e y S t o r a g e ) в ы б е р и т е параметр Использовать хранилище

к л ю ч е й C S P ( U s e C S P S t o r a g e ) и щ е л к н и т е Д а л е е (Next).

В ы в ы б р а л и з а щ и т у к л ю ч а к л а с т е р а A D R M S с п о м о щ ь ю криптографичес-

к о г о п о с т а в щ и к а х р а н и л и щ а , п о с к о л ь к у этот метод обеспечивает более вы-

с о к и й у р о в е н ь з а щ и т ы . У к а ж и т е п о с т а в щ и к а хранилища, а затем установите

с е р т и ф и к а т на к а ж д о м н о в о м сервере AD R M S , прежде чем добавить в кор-

н е в о й к л а с т е р . К л ю ч м о ж н о х р а н и т ь и в базе д а н н ы х AD RMS, однако дан-

н ы й м е т о д н е о б е с п е ч и в а е т т а к у ю защиту, к а к провайдер шифрования CSP.

15. I-la с т р а н и ц е У к а з а т ь к л ю ч кластера AD R M S (Specify AD R M S Cluster Key)

в ы б е р и т е п р о г р а м м н ы й и л и а п п а р а т н ы й п о с т а в щ и к служб ш и ф р о в а н и я

( C S P ) в с о о т в е т с т в и и с т р е б о в а н и я м и п о л и т и к и безопасности и укажите

п а р а м е т р С о з д а т ь н о в ы й к л ю ч с в ы б р а н н ы м C S P ( C r e a t e A New Key With

T h e S e l e c t e d C S P ) . Щ е л к н и т е Д а л е е ( N e x t ) .

16. Н а с т р а н и ц е В ы б р а т ь в е б – у з е л к л а с т е р а A D R M S (Select A D R M S Cluster

W e b S i t e ) в ы б е р и т е веб-сайт, где х о т и т е установить веб-службы A D RMS,

и щ е л к н и т е Д а л е е ( N e x t ) . Е с л и вы не подготовили веб-сайт заранее, будет

в ы б р а н у з е л D e f a u l t W e b Site.

17. На с т р а н и ц е У к а ж и т е а д р е с кластера (Specify Address Cluster) укажите па-

р а м е т р И с п о л ь з о в а т ь п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL ( h t t p s : / / ) (Use An

S S L – E n c r y p t e d C o n n e c t i o n ( h t t p s : / / ) ) . Д л я кластера A D R M S рекомендуется

п о д к л ю ч е н и е с ш и ф р о в а н и е м SSL. Вы д о л ж н ы использовать сертификат

с т о р о н н е г о к о м м е р ч е с к о г о центра с е р т и ф и к а ц и и , чтобы ом автоматически

б ы л д о в е р е н н ы м д л я в с е х сторон. Этот сертификат уже должен быть уста-

н о в л е н иа с е р в е р е , ч т о б ы в ы б р а т ь его в процессе установки.

Н е и с п о л ь з у й т е н е з а ш и ф р о в а н н о е п о д к л ю ч е н и е . О т к р ы т ы е подключе-

н и я н е л ь з я п р и м е н я т ь в с л у ч а е ф е д е р а ц и и удостоверений д л я реализации

A D R M S .

18. В с е к ц и и В н у т р е н н и й а д р е с ( I n t e r n a l Address) страницы Укажите адрес

к л а с т е р а ( S p e c i f y A d d r e s s C l u s t e r ) введите полное доменное имя F Q D N

к л а с т е р а A D R M S и щ е л к н и т е к н о п к у Проверить (Validate).

Э т о и м я F Q D N н е л ь з я будет и з м е н и т ь после установки и настройки AD

R M S . Е с л и хотите и з м е н и т ь порт по умолчанию для AD RMS, укажите порт

на э т о й с т р а н и ц е мастера, п о с к о л ь к у потом не сможете изменить его.

19. Щ е л к н и т е Д а л е е ( N e x t ) .

27 Зпк. 3399

к 8 1 0 Службы управления правами Active Directory

Глава 16

20. На странице Выберите с е р т и ф и к а т п р о в е р к и п о д л и н н о с т и с е р в е р а д л я SSL-

шифрования (Choose A Server A u t h e n t i c a t i o n C e r t i f i c a t e For S S L E n c r y p t i o n )

щелкните параметр В ы б р а т ь с у щ е с т в у ю щ и й с е р т и ф и к а т д л я ш и ф р о в а н и я

SSL (рекомендуется) ( C h o o s e A n E x i s t i n g C e r t i f i c a t e F o r S S L E n c r y p t i o n

(Recommended)), в ы б е р и т е у с т а н о в л е н н ы й с е р т и ф и к а т и щ е л к н и т е Д а л е е

(Next).

Если вы не установили с е р т и ф и к а т ранее, и м п о р т и р у й т е его, щ е л к н у в к н о п -

ку Импорт (Import). Кроме того, м о ж н о и с п о л ь з о в а т ь с а м о з а в е р я ю щ и й сер-

тификат л и б о выбрать с е р т и ф и к а т д л я ш и ф р о в а н и я S S L п о з ж е . О т м е т и м ,

что в случае выбора последней о п ц и и вы не з а в е р ш и т е у с т а н о в к у , п о к а не

получите и не установите с е р т и ф и к а т .

ВНИМАНИЕ! Самозаверяющие сертификаты

Самозаверяющие сертификаты следует применять только в тестовых средах. В про-

изводственной среде используйте соответствующий с е р т и ф и к а т SSL, в ы д а н н ы й

коммерческим центром сертификации.

21. Н а странице Указать и м я д л я с е р т и ф и к а т а л и ц е н з и а р а с е р в е р а ( N a m e

The Server Licensor Certificate) в в е д и т е и м я д л я и д е н т и ф и к а ц и и к л а с т е р а

AD RMS, а затем щ е л к н и т е Д а л е е ( N e x t ) .

22. Н а странице Зарегистрировать точку п о д к л ю ч е н и я с л у ж б ы A D R M S (Regis-

ter AD R M S Service Connection P o i n t ) в ы б е р и т е п а р а м е т р З а р е г и с т р и р о в а т ь

точку подключения службы A D R M S с е й ч а с ( R e g i s t e r T h e A D R M S S e r v i c e

Connection Point N o w ) и щ е л к н и т е Д а л е е ( N e x t ) .

Отметим, что эта о п е р а ц и я р е г и с т р и р у е т т о ч к у п о д к л ю ч е н и я с л у ж б ы A D

RMS в A D DS.

ВНИМАНИЕ! Права доступа для создания точки подключения с л у ж б ы (CSP)

Для того чтобы выполнить регистрацию точки подключения службы AD RMS, нужно

войти на сервер AD RMS с учетными данными пользователя, обладающего правом

записи в контейнере Службы (Services) служб AD DS, то есть эта учетная запись

должна быть членом группы Администраторы предприятия (Enterprise Admins).

Если вы осуществляете подготовку к л а с т е р а и х о т и т е у с т а н о в и т ь д о п о л н и -

тельные члены кластера прежде, чем о б с л у ж и т ь з а п р о с ы , в ы б е р и т е п а р а м е т р

Зарегистрировать т о ч к у п о д к л ю ч е н и я с л у ж б ы A D R M S ( R e g i s t e r T h e A D

R M S Service Connection Point Later), п р и с о е д и н и т е д р у г о г о ч л е н а к л а с т е р а

и создайте CSP.

23. На странице Веб-сервер ( I I S ) ( W e b Server ( I I S ) ) п р о с м о т р и т е с в е д е н и я об

IIS и щелкните Далее ( N e x t ) .

Страницы, которые о т к р ы в а ю т с я на ш а г а х 23 и 24, д о с т у п н ы т о л ь к о на

сервере без предварительной у с т а н о в к и IIS.

24. На следующей странице оставьте в ы б о р с л у ж б р о л и в е б – с е р в е р а по у м о л -

чанию и щ е л к н и т е Далее ( N e x t ) .

Занятие 1

Установка служб управления правами Active Directory

811

25. Н а с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е э л е м е н т ы ( C o n f i r m Installation Selec-

t i o n s ) п р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е к н о п к у Установить

( I n s t a l l ) .

26. П о с л е з а в е р ш е н и я у с т а н о в к и щ е л к н и т е к н о п к у Готово ( F i n i s h ) , ч т о б ы за-

к р ы т ь м а с т е р у с т а н о в к и . В ы й д и т е и з с и с т е м ы и в н о в ь в о й д и т е д л я обнов-

л е н и я р а з р е ш е н и й , п р е д о с т а в л я е м ы х у ч е т н о й з а п и с и в о ш е д ш е г о пользо-

в а т е л я .

У ч е т н а я з а п и с ь п о л ь з о в а т е л я , п р и м е н я е м а я д л я у с т а н о в к и р о л и сервера

A D R M S , а в т о м а т и ч е с к и с т а н о в и т с я ч л е н о м г р у п п ы А д м и н и с т р а т о р ы пред-

п р и я т и я с л у ж б ы A D R M S ( A D R M S E n t e r p r i s e A d m i n i s t r a t o r s ) , которой

п р е д о с т а в л е н д о с т у п к о в с е м о п е р а ц и я м A D R M S .

У с т а н о в к а з а в е р ш е н а ( р и с . 1 6 – 4 ) .

Рис. 16-4. После завершения установки в диспетчере сервера становится доступной

вся структура дерева AD RMS

К СВЕДЕНИЮ Кластер AD RMS

Б о л е е п о д р о б н у ю и н ф о р м а ц и ю об установке кластера AD RMS можно найти по

адресу http://technet2.microsoft.com/windowsserver2008/en/libraiy/74272acc-0f2d-4dc2-

876f-15b156a0b4e01033.mspx?mfr-true. Пошаговое руководство находится по адресу

http://go.microsoft.com/fwIink/PLinkkl-72134. Д л я обеспечения высокой готовности

кластера необходимо установить дополнительные члены кластера. Информация о

такой установке содержится по адресу http://technet2.microsoft.com/windowsserver2008/

en/libra iy/1bc393b9-5ce9-4950-acae-63a463ccfc361033.mspx?mfг-true.

к 812 Службы управления правами Active Directory

Глава 16

Практические занятия. Установка AD RMS

В приведенных далее упражнениях предлагается у с т а н о в и т ь AD R M S в н о в о м

кластере. Вначале нужно добавить запись DNS, потом создать в к а т а л о г е учет-

ную запись службы и группы роли AD RMS, создать и у с т а н о в и т ь с е р т и ф и к а т

веб-сервера, а затем приступить к установке. Д л я в ы п о л н е н и я у п р а ж н е н и й

запустите компьютеры, перечисленные в подразделе « П р е ж д е всего» в н а ч а л е

этой главы. Вам понадобятся м а ш и н ы S E R V E R 0 1 , S E R V E R 0 4 и S E R V E R 0 5 .

У п р а ж н е н и е 1. Подготовка з а п и с и DNS

Создайте запись C N A M E , чтобы подготовить U R L к л а с т е р а AD R M S .

1. Войдите на машину S E R V E R 0 1 как а д м и н и с т р а т о р домеиа.

2. В категории Администрирование ( A d m i n i s t r a t i v e Tools) з а п у с т и т е Д и с п е т -

чер сервера (Server Manager).

3. Разверните узел Р о л и 0 ^ – с е р в е р 0 ^ З Е 1 1 У т а 0 1 З о н ы п р я м о г о ripo-

CMOTpacontoso.com ( R o l e s D N S S e r v e r D N S S E R V E R 0 1 l 7 o r w a r d L o o k u p

Zonescontoso.coin).

4. Щелкните правой кнопкой мыши иа панели сведений и в ы п о л н и т е к о м а н д у

) Создать псевдоним ( C N A M E ) (New Alias ( C N A M E ) ) .

5. В диалоговом окне Новая запись ресурса (New R e s o u r c e R e c o r d ) в в е д и т е

имя псевдонима RightsManagement и н а з н а ч ь т е его м а ш и н е S E R V E R 0 4 .

contoso.com в поле Полное F Q D N – и м я к о н е ч н о г о у з л а ( F u l l y Q u a l i f i e d

Domain Name ( F Q D N ) For Target H o s t ) д и а л о г о в о г о окна. Щ е л к н и т е О К .

Вы создали новую запись для U R L кластера AD R M S . О н а будет о б н о в л е н а

на других серверах при выполнении п о с л е д у ю щ и х у п р а ж н е н и й .

Упражнение 2. Подготовка каталога

Теперь нужно создать учетную запись с л у ж б ы и ч е т ы р е г р у п п ы д л я д е л е г и р о -

вания административных задач AD R M S .

1. Войдите на SERVER01 как администратор домена.

2. В категории Администрирование (Administrative Tools) з а п у с т и т е Д и с п е т -

чер сервера (Server Manager).

3. Разверните узел Р о л и Д о м е п н ы е с л у ж б ы Active D i r e c t o r y A c t i v e D i r e c t o -

ry – пользователи и KOMiibioTepbtcontoso.com ( R o l e s A c t i v e D i r e c t o r y D o -

main ServicesActive Directory Users and C o m p u t e r s c o n t o s o . c o m ) . С о з д а й т е

структуру подразделений А д м и н и с т р а т о р ы И д е н т и ф и к а ц и я с л у ж б .

4. Щелкните правой кнопкой мыши подразделение И д е н т и ф и к а ц и я служб, вы-

полните команду Создать (New) и выберите объект П о л ь з о в а т е л ь ( U s e r ) .

5. Задайте для пользователя имя ADRMSService и и с п о л ь з у й т е его д л я входа

и как имя пред-Windows 2000. Щ е л к н и т е Д а л е е ( N e x t ) .

6. Задайте сложный пароль, сбросьте ф л а ж о к Требонать с м е н у п а р о л я при

следующем входе в систему (User M u s t C h a n g e Password At N e x t L o g o n ) и

установите флажок Срок действия пароля не ограничен (Password Never

Expires). Щелкните Далее (Next), а затем Готово ( F i n i s h ) , чтобы создать

учетную запись.

Занятие 1

Установка служб управления правами Active Directory

813

7. Т е п е р ь с о з д а й т е в п о д р а з д е л е н и и С о п 1 о 5 0 . с о т Л д м и и и с т р а т о р ы Группы

а д м и н и с т р а т о р о в Д е л е г и р о в а н и е серверов группы администрирования AD

R M S . Е с л и эти п о д р а з д е л е н и я отсутствуют, создайте их.

8. С о з д а й т е ч е т ы р е глобальные группы безопасности. Щелкните правой кноп-

к о й м ы ш и иа п а н е л и сведений, в ы п о л н и т е команду Создать (New) и вы-

б е р и т е о б ъ е к т Группа ( G r o u p ) . Введите имя для группы и щелкните ОК.

С о з д а й т е т а к и е г р у п п ы :

• А д м и н и с т р а т о р ы п р е д п р и я т и я AD RMS;

• А д м и н и с т р а т о р ы ш а б л о н о в AD RMS;

• А у д и т о р ы AD R M S ;

• У ч е т н а я з а п и с ь с л у ж б ы AD R M S .

9. О т к р о й т е г р у п п у У ч е т н а я з а п и с ь с л у ж б ы AD R M S (щелкните ее правой

к н о п к о й м ы ш и и в ы б е р и т е Свойства ( P r o p e r t i e s ) ) и перейдите на вкладку

Ч л е н ы ( M e m b e r s ) . Д о б а в ь т е в эту группу учетную запись ADRMSService

и щ е л к н и т е О К .

10. В о й д и т е иа S E R V E R 0 3 к а к а д м и н и с т р а т о р домена.

11. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Диспет-

чер с е р в е р а ( S e r v e r M a n a g e r ) .

12. Р а з в е р н и т е узел К о н ф и г у р а ц и я Л о к а л ы [ ы е пользователи и группыГруппы

( C o n f i g u r a t i o n L o c a l Users And G r o u p s G r o u p s ) .

13. В ы б е р и т е г р у п п у А д м и н и с т р а т о р ы (Administrators) и откройте ее.

14. Добавьте группу Учетная запись службы AD RMS в эту группу и щелкните ОК.

Т е п е р ь вы г о т о в ы п р о д о л ж и т ь процесс установки.

У п р а ж н е н и е 3. П о д г о т о в к а с е р т и ф и к а т а веб-сервера <

П о с к о л ь к у с л у ж б а м AD R M S требуются веб-подключения с шифрованием

SSL, н е о б х о д и м о создать и установить сертификат веб-сервера. Отметим, что

п р е ж д е ч е м п р и с т у п и т ь к д а н н о м у упражнению, необходимо выполнить уп-

р а ж н е н и я г л а в ы 15.

1. В о й д и т е на S E R V E R 0 4 к ак администратор домеиа.

Вы п о л у ч и т е п р а в а доступа администратора предприятия (Enterprise Ad-

ministrator), н е о б х о д и м ы е для создания точки подключения службы (CSP).

Э т и р а з р е ш е н и я доступа понадобятся, когда вы будете выполнять упраж-

н е н и е 4.

2. В к а т е г о р и и А д м и н и с т р и р о в а н и е (Administrative Tools) запустите Диспет-

чер сервера (Server M a n a g e r ) .

3. Р а з в е р н и т е у з е л Р о л и С л у ж б ы сертификации Active Ойес1огуШаблопы

с е р т и ф и к а т о в ( S E R V E R 0 4 ) (RolesActive Directory Certificate ServicesCer-

tificate Templates ( S E R V E R 0 4 ) ) . На панели сведений будут перечислены

все с у щ е с т в у ю щ и е сертификаты.

4. На п а н е л и сведений выберите шаблон Веб-сервер (Web Server), щелкните

его п р а в о й к н о п к о й м ы ш и и выберите команду Скопировать шаблон (Du-

plicate Template).

к 814

Службы управления правами Active Directory

Глава 16

5. Укажите версию Windows Server 2008 и щ е л к н и т е О К .

6. Задайте для шаблона имя Web Server W S 0 8 и н а з н а ч ь т е с л е д у ю щ и е пара-

метры, оставив остальные п а р а м е т р ы п р е ж н и м и ( п о у м о л ч а н и ю ) .

A. На вкладке Общие (General) у с т а н о в и т е ф л а ж о к О п у б л и к о в а т ь серти-

фикат в Active Directory ( P u b l i s h C e r t i f i c a t e In Active D i r e c t o r y ) .

Б. На вкладке Безопасность ( S e c u r i t y ) добавьте учетную, з а п и с ь к о м п ь ю -

тера SERVER04. Щ е л к н и т е к н о п к и Д о б а в и т ь ( A d d ) и Т и п ы о б ъ е к т о в

(Object Types), выберите тип объектов К о м п ь ю т е р ы ( C o m p u t e r s ) и щ е л к -

ните ОК.

B. Введите имя SERVER04, щ е л к н и т е к н о п к у П р о в е р и т ь и м е н а ( C h e c k

Names), а затем дважды щ е л к н и т е О К .

Г. Предоставьте учетной записи S E R V E R 0 4 р а з р е ш е н и я Ч т е н и е ( R e a d )

и Заявка (Enroll). Щ е л к н и т е О К .

7. Еще раз щелкните О К .

Выдача сертификатов осуществляется в консоли Ц е н т р с е р т и ф и к а ц и и ( C e r -

tification Authority) диспетчера сервера.

8. Разверните узел Р о л и С л у ж б ы с е р т и ф и к а ц и и Active D i r e c t o r y C o n t o s o -

SERVER04-CAШaблoны сертификатов ( R o l e s A c t i v e D i r e c t o r y C e r t i f i c a t e

ServicesContoso-SERVER04-CACertificate T e m p l a t e s ) .

9. Для выдачи сертификата щелкните п р а в о й к н о п к о й м ы ш и к о н т е й н е р Ш а б -

лоны сертификатов (Certificate Templates), в ы п о л н и т е к о м а н д у С о з д а т ь

(New) и выберите опцию В ы д а в а е м ы й ш а б л о н с е р т и ф и к а т а ( C e r t i f i c a t e

Template То Issue).

10. В диалоговом окне Включение ш а б л о н о в с е р т и ф и к а т о в ( E n a b l e C e r t i f i c a t e

r Templates) выберите с е р т и ф и к а т W e b Serve r W S 0 8 и щ е л к н и т е О К .

Упражнение 4. Установка с е р т и ф и к а т а в е б – с е р в е р а

Теперь необходимо запросить и установить с е р т и ф и к а т .

1. Откройте меню Пуск (Start), в поле поиска введите ттс и н а ж м и т е к л а в и ш у

Enter.

2. В меню Консоль (File) щ е л к н и т е к о м а н д у Д о б а в и т ь и л и у д а л и т ь о с н а с т к у

(Add/Remove Snap-ins), в ы б е р и т е о с и а с т к у С е р т и ф и к а т ы ( C e r t i f i c a t e s )

и щелкните кнопку Добавить (Add).

3. Выберите учетную запись к о м п ь ю т е р а ( C o m p u t e r A c c o u n t ) и щ е л к н и т е

Далее (Next).

4. Выберите параметр локального к о м п ь ю т е р а (Local C o m p u t e r ) , щ е л к н и т е

Готово (Finish), а затем О К .

5. В меню Консоль (File) выберите команду Сохранить к а к (Save As), перейди-

те в папку Документы ( D o c u m e n t s ) и п р и с в о й т е о с н а с т к е и м я Computer

Certificates.

6. Разверните узел Сертификаты ( л о к а л ь н ы й к о м п ы о т е р ) Л и ч н о е С е р т и ф и -

каты (Certificates (Local C o m p u t e r ) P e r s o n a l C e r t i f i c a t e s ) .

Занятие 1

Установка служб управления правами Active Directory

815

7. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и контейнер Сертификаты (Certificates),

в ы б е р и т е о п ц и ю Все задачи (ЛИ Tasks) и примените задачу Запросить но-

в ы й с е р т и ф и к а т ( R e q u e s t New Certificate). Щелкните Далее (Next).

8. В ы б е р и т е с е р т и ф и к а т Web Server W S 0 8 и щ е л к н и т е кнопку Дополнитель-

н ы е с в е д е н и я ( M o r e I n f o r m a t i o n ) , чтобы подать заявку на этот сертификат.

9. В д и а л о г о в о м о к н е Свойства сертификата (Certificate Properties) на вкладке

С у б ъ е к т ( S u b j e c t ) в в е д и т е с л е д у ю щ и е данные.

A, В п о л е И м я с у б ъ е к т а ( S u b j e c t N a m e Value) выберите полное DN-имя

( F u l l D N ) , в в е д и т е CN-SERVER04,DC-Contoso,DC-com и щелкните